我知道当他们把 a+放在最后时,URL 将其视为空格。
我想知道有什么-- -作用。我确实知道“双破折号”的作用。包括带有“末尾空格”的双破折号。我特别想知道 a 是做什么的dash-dash-space-dash。
在 SQL 注入中,为什么他们在 URL 的末尾加上“--”?
信息安全
Web应用程序
sql注入
网址
2021-09-03 13:59:13
1个回答
最后一个破折号基本上保护了尾随空间。如果您在浏览器中利用 SQL 注入(例如通过 URL),某些浏览器会删除尾随空格字符。一些著名的 SQL 风格明确要求 Dash-Dash 后的空格将序列视为注释的开头,因此攻击者经常在空格后添加一个字符以保护它免受此类浏览器优化。
您可以使用任何字符来完成此操作。-- x会做同样的事情。
其它你可能感兴趣的问题